近年來，勒索攻擊活動顯著增加，給企業造成了巨大損失，引發了大眾的廣泛關注：

2020年9月，德國杜塞爾多夫大學醫院的30多臺服務器遭到勒索攻擊，導致醫院系統癱瘓，無法接收新的急診病人。一名急需救治的婦女因無法在該醫院得到及時治療而被轉送，最終不幸去世。這是公開報道的第一起因勒索攻擊直接導致人員死亡的事件。

2021年2月，美國最大的燃料管道運營商Colonial Pipeline遭到DarkSide勒索軟件攻擊，導致其8851公里的燃料運輸管道被迫關閉數天，引發燃料短缺和油價飆升，對美國經濟和民眾生活造成了廣泛影響。

2024年2月，隸屬于美國聯合健康集團的醫療保健服務商Change Healthcare遭到BlackCat勒索團伙的勒索攻擊，約6TB的數據被泄露，影響多達1億民眾，造成的損失高達60億元。

類似的勒索攻擊在全球范圍內愈演愈烈。IBM《2025 X-Force威脅情報報告》顯示，勒索攻擊已連續四年成為最主要的網絡攻擊類型，占比高達28%。同時，攻擊者更多采用數據竊取替代加密，以降低暴露風險。

對于企業而言，一旦遭受勒索攻擊，可能導致核心數據被加密、被索取天價贖金，甚至可能導致企業業務中斷、客戶信任流失、被處巨額罰金。尤其是中小企業，勒索攻擊堪比“催命符”，造成的后果難以估量。

面對復雜嚴峻的安全形勢，傳統的縱深防御安全架構顯得力不從心。企業唯有擁抱零信任理念，構建零信任安全架構，才能更好地防范勒索攻擊，實現“防勒索于未然”。

勒索攻擊為何防不勝防？

面對無孔不入、手段多樣的勒索攻擊，傳統的“邊界為王”的防護模式暴露出了諸多弱點，給了勒索團伙可乘之機：

1.邊界“消失”：安全邊界模糊，企業防不勝防

當前，遠程辦公、混合辦公已經成為常態，企業的業務、數據、人走出了內網，員工可以在任何地方、使用任何設備訪問企業資源，數據在公有云、私有云和本地數據中心之間自由流動。

這種“無邊界”的作業模式，讓攻擊者可以輕易繞過邊界防護設備，通過遠程辦公的員工設備、不安全的家庭Wi-Fi、VPN，甚至供應鏈合作伙伴的薄弱環節滲透進企業內網。一旦進入，由于內網通常被視為“可信區域”，攻擊者便如入無人之境。

2.敵暗我明：網絡暴露面大，易被掃描攻擊

隨著移動互聯網、云計算、物聯網（IoT）的普及，企業對互聯網的依賴程度越來越高，企業員工、客戶、第三方人員都會通過互聯網訪問各種業務應用，導致業務資源在互聯網上的暴露面越來越大。勒索團伙可以通過掃描端口，判定業務類型、服務版本和漏洞狀況，從而實施針對性的攻擊。

3.門禁不“禁”：盜用身份信息，“合法”訪問應用

身份憑證的盜用已成為勒索攻擊的主要“跳板”。根據Verizon《2024數據泄露調查報告》，超80%的勒索攻擊涉及被盜憑證。

傳統的安全系統往往依賴于靜態的密碼認證，缺乏對訪問者身份真實性的持續驗證。攻擊者一旦通過網絡釣魚、社會工程學、暗網購買等方式獲取員工的合法賬號和密碼，就可以堂而皇之地訪問授權應用，竊取敏感數據，并在此基礎上橫向移動，尋找高價值目標進行加密勒索，而整個過程在傳統監控系統看來可能都是“合規”操作。

4.外嚴內松：權限管理粗放，內網隨意橫移

一旦勒索團伙在企業內網的某個節點成功立足，便可以進行“橫向移動”，將惡意軟件從一臺服務器傳播到另一臺服務器，最終感染整個網絡，尤其是存儲核心數據的服務器。

過度授權給橫向移動提供了便利，過度信任讓橫向移動難以被察覺。在傳統的防護架構中，所有內部設備和應用默認相互信任，缺乏持續驗證的機制。勒索攻擊正是利用這種“信任”，通過系統漏洞或共享憑證快速傳播，短時間內就能癱瘓企業大部分業務系統，導致企業陷入“要么支付巨額贖金，要么業務長期停擺”的困境。

芯盾時代零信任業務安全解決方案

面對上述挑戰，企業需要轉變思維，引入“持續驗證、永不信任”的零信任安全理念，建設以“身份”為核心的零信任安全架構，與傳統的縱深防御架構形成互補，更好地防范勒索攻擊。

芯盾時代作為領先的零信任業務安全產品方案提供商，擁有豐富的零信任安全產品線。芯盾時代基于用戶身份與訪問管理平臺（IAM）、零信任安全網關（SDP）等產品，打造了零信任業務安全解決方案，能夠幫助企業落地零信任安全架構，以“身份”為核心構建動態化、隨身化、微粒化的安全邊界，對每一次訪問實施細粒度的動態訪問控制，更好地防范勒索攻擊。

借助芯盾時代零信任業務安全解決方案，企業可在不改造或低改造成本下，實現以下功能：

1.以“身份”為核心，重構安全邊界

在零信任架構中，無論訪問者處于內網外網、使用何種設備，都必須先證明“你是誰”以及“你被授權訪問什么”。芯盾時代IAM全面的身份管理能力，為此提供了有力支撐。

統一身份管理與強認證：芯盾時代IAM能夠幫助企業建立智能化、統一化、標準化的身份管理體系，為每一名員工生成唯一可信的數字身份，從而實施全局統一的身份安全策略。借助移動認證App，企業能夠一站式實現全局多因素認證，為員工提供短信驗證碼、動態口令、App掃碼、指紋識別等認證方式，消除弱密碼、密碼重復使用帶來的安全隱患。

身份信息加密：芯盾時代自主研發了移動認證技術，通過對智能手機的唯一性識別，證書的安全生成、存儲、調用，以及手機安全環境的檢測，將智能手機打造成移動U盾，為身份認證營造安全的終端環境。芯盾時代智能終端密碼模塊，結合分割密鑰、白盒算法、環境清場等技術，為身份信息的安全存儲、傳輸提供底層支持，確保身份信息難以被破譯和篡改。

2.實現“網絡隱身”，收斂資源暴露面

企業如何在互聯網上“隱身”，讓攻擊者找不到攻擊入口？芯盾時代SDP用“先認證、后連接”的訪問機制，以及強大的終端設備管控能力，給出了滿分答案。

網絡隱身：芯盾時代SDP采用應用代理和SPA單包授權技術，由網關統一代理業務應用訪問流量，同時對所有連接網關的設備、用戶、應用進行預認證，不通過認證不開放端口，實現業務應用和網關雙重“隱身”，從而有效收斂資源暴露面，從源頭上阻斷勒索團伙的惡意掃描和網絡攻擊。

高精度設備指紋：SDP客戶端能夠采集終端設備的硬件、軟件、網絡等多維度信息，為每臺設備生成唯一的身份標識碼，從而實現設備與賬號的強綁定。這一功能有效防止了員工使用不安全的個人設備或已被病毒感染的“僵尸設備”訪問內網，杜絕了將外部威脅帶入內部的風險。

3.動態訪問控制，阻斷攻擊者橫移

零信任強調對每一個訪問者、每一次訪問實施“持續驗證”，即便勒索團伙進入了內網，零信任也能最大程度地限制其破壞范圍。

實現“最小化授權”：芯盾時代IAM具備全面的身份管理能力，支持RBAC、ABAC、ACL等多種權限管理模型，權限管理能力細至URL，幫助企業落實“最小化授權”，精準管控數據資源的訪問權限，杜絕越權訪問。即使攻擊者竊取到了身份憑證，也無法進行權限之外的操作。

細粒度動態訪問控制：芯盾時代SDP會綜合賬號、設備、行為、IP、時間等維度的風險信息，對每一次訪問實施全程、實時、細粒度的訪問控制。一旦檢測到風險（如設備上出現惡意進程、用戶開始大量下載非業務相關數據），SDP會自適應執行訪問控制策略，采取收斂權限、二次認證，甚至直接切斷會話等措施。強大的動態訪問控制能力，能夠及時阻斷攻擊者在內網橫移，構建了一個真正動態、智能的安全閉環。

面對不斷進化的勒索攻擊，被動、靜態的防御架構已然過時。企業必須主動出擊，升級安全架構，用零信任理念指導網絡安全建設。芯盾時代零信任業務安全解決方案，不僅是企業抵御勒索攻擊的可靠防線，更是企業數字化轉型的安全基石。